Aggiunta alla risposta di MainMa ...
Gli spammer inducono gli altri a fare il CAPTCHA per loro
Fondamentalmente, gli spammer hanno creato un sito warez o un sito porno che sembra avere un CAPTCHA, ma non è un vero CAPTCHA. Un bot estrae il CAPTCHA dal sito che desidera spammare (o altrimenti sfruttare), quindi lo visualizza sul sito Warez o su un sito porno in cui qualcuno lo completa per loro. Quindi il valore CAPTCHA viene restituito al loro bot ...
Un po 'di più sugli spammer
Uso reCAPTCHA e ho scoperto che è praticamente senza valore. Uso anche un filtro antispam personalizzato che rileva lo spam che ha superato reCAPTCHA e devo esaminarlo ogni pochi giorni per falsi positivi.
Anche il mio forum è interamente personalizzato e riceve pochissimo traffico. Non credo che nessuno abbia codificato un attacco specifico al mio sito. Tuttavia, il mio filtro antispam cattura 2k messaggi spam al giorno! Nessuno viene mai visualizzato sul sito. Gli spammer non ottengono alcun beneficio dallo spamming, ma lo fanno ancora.
Riesco a vedere modelli nei tentativi di spamming perché registro tutto. Posso dirti questo: mettendo da parte come superano il CAPTCHA, gli spammer stanno chiaramente usando una tecnica di forza bruta che varia i campi che vengono compilati e il tipo di dati e combinazioni di parole che popolano quei campi. Apparentemente lo fanno in modo così economico (incluso il bypass del CAPTCHA) che non paga nemmeno fare un'analisi dei singoli siti per vedere se ciò che stanno facendo è o non funziona.
Anno dopo anno, continuano a indirizzare il mio sito con migliaia di messaggi di spam al giorno solo per ottenerne uno ogni mese e quello viene eliminato manualmente un giorno dopo. È così economico per lo spam!
Questa sarà una battaglia per gli anni a venire. Soprattutto per piccoli siti moderatori come il mio.
MODIFICA 22/06/2017 : Voglio aggiungere che da quando questo post google ha completamente rinnovato reCAPTCHA e al momento della stesura ha funzionato perfettamente. Anche se sospetto che ci siano un po 'di falsi positivi o è un dolore per gli utenti poiché i post sono diminuiti un po' da quando l'ho implementato. I 2 grandi cambiamenti sono
1) Stanno usando le immagini invece del testo (quindi niente più OCR)
2) Lo stanno combinando con l'attività degli utenti su tutti i siti che utilizzano reCAPTCHA. Quindi, se superi reCAPTCHA sul sito A, quindi vai al sito B, potrebbe anche non chiederti di dimostrare di essere umano! Inoltre (penso) se stai colpendo troppi reCAPTCHA su troppi siti, ti segnalerà anche te. Sono sicuro che sta usando altri tipi di IA anche in base all'attività degli utenti.
Sono sicuro che è solo una questione di tempo fino a quando anche gli spammer lo sconfiggono ...